网络安全

保护您的公司和客户


随着世界的发展,房地产行业也在发展。这些变化有时是一把双刃剑。手机,平板电脑,应用程序,社交媒体,插件等可改善与客户的沟通,并提供新的市场资产销售方式,但也为罪犯提供了掠夺该行业及其客户的新机会。在今天’轻触按钮即可传输信息和金钱的环境,犯罪分子可以创建方法来拦截这些信息和金钱给您和您的客户’ detriment. 请参阅下面的信息汇编,以帮助您保护您和您的客户定期共享的数据。 
  • 保护数据的5个步骤

    打击网络犯罪分子的第一步是确保您制定了完善的数据安全计划。 联邦贸易委员会指出,健全的数据安全计划是建立在五个关键原则之上的:[1]


    一:盘点


    至少要知道文件和计算机中包含哪些信息,尤其是个人识别或可识别信息(PII)。了解如何接收,是否存储,如何存储,谁可以访问它等。


    传统上,个人识别信息包括姓名,出生日期,社会保险号或任何包含个人识别信息的内容。但是,如果可以合理地将数据链接到个人,计算机或设备,联邦贸易委员会将数据视为个人身份。 在许多情况下,设备标识符,MAC地址,静态ID地址和零售会员卡可以合理地将PII链接到个人,计算机或设备。[2]


    路易斯安那州’s “数据库安全违反通知法” defines “personal information”未加密或未编辑姓名或数据元素时,将其作为个人的名字或名字的首字母和姓氏,并与以下任何一个或多个数据元素结合使用:社会保险号,驾照号码,帐号,信用证或借记卡卡号,以及允许访问个人金融帐户的任何必需的安全码,访问码或密码。"Personal information"不包括从联邦,州或地方政府记录中合法提供给公众的公开信息。[3] 


    二:按比例缩小。


    仅保留您业务所需的东西。除非需要,否则请勿收集敏感或个人识别信息或客户财务信息。 在联邦和州法律允许的范围内(或如果不适用的话),只要您对此有业务需要,请立即处理这些信息。


    请勿将社会保险号用作员工或客户的标识号。

    每位员工只能访问完成工作所需的资源和信息


    If you do need to keep this information for business or legal purposes, make sure to have a records retention policy covering what information must be kept, how to secure it, how long to keep it, and how to dispose of it properly. 记得: 路易斯安那州 Real Estate Commission rules require you keep records for five years.[4]


    三:将其锁定以保护您保留的信息。


    最有效的数据安全计划具有四个关键要素:物理安全,电子安全,员工培训以及承包商和服务提供商的安全实践。


    最有效的防御措施通常是上锁的门或机敏的员工。


    计算机安全不仅仅是您的IT员工的领域。


    确保员工定期在单台计算机和网络上的服务器上运行最新的反恶意软件程序。


    警告员工不要通过电子邮件传输PII。未加密的电子邮件不是传输信息的安全方法。 但是,当您必须通过电子邮件接收或传输财务信息时,请使用传输层安全性(TLS)加密或另一种保护传输中信息的安全连接。


    Gnu Privacy Guard将防止某些黑客威胁。[5]


    Milvelope还将努力对网络邮件提供商(例如Yahoo,Gmail,Outlook等)上的邮件进行加密。[6]


    只要支付少量费用,您就可以使用虚拟专用网络,该虚拟专用网络可确保您的所有通信均被自动加密,并通过受保护的网络而不是通过黑客可访问的服务进行隧道传输。[7]

    通过要求员工使用强密码来控制对敏感信息的访问。适当时要求更改密码–例如,违规后。


    将笔记本电脑的使用范围限制于需要笔记本电脑执行工作的人员。考虑允许便携式计算机用户仅访问敏感信息,而不能将信息存储在其便携式计算机上。 

    当计算机连接到网络(尤其是Internet)时,请使用防火墙保护计算机免受黑客攻击。


    您的信息安全计划应涵盖贵公司使用的数字复印机。数字复印机中的硬盘驱动器存储有关其复印,打印,扫描,传真或电子邮件的文档的数据。


    您的数据安全计划仅与实施该计划的员工一样强大。确保向您的员工解释这些规则,并培训他们发现安全薄弱环节。 训练有素的劳动力是抵御网络犯罪的最佳方法。


    要求每位员工和代理商签署协议来关注您的公司’的机密性和安全性标准。

    了解哪些员工可以访问客户’ PII.

    培训员工识别威胁。

    教员工和代理商有关鱼叉式网络钓鱼的危险–包含使电子邮件看起来合法的信息的电子邮件。制定办公室政策,以独立验证任何要求敏感信息的电子邮件。 验证时,请勿回复电子邮件,也不要使用电子邮件中包含的链接,电话号码或网站。


    警告员工有关网络钓鱼的信息。训练他们怀疑未知的来电者,他们声称需要帐号来处理订单或询问客户或员工的联系信息。  通过使用您知道是真实的电话号码与公司联系来制定办公室政策以进行仔细检查。


    要求员工在存在潜在的安全漏洞(例如笔记本电脑丢失或被盗)时立即通知您


    在外包任何业务职能之前–工资单,网络托管,呼叫中心操作,数据处理等。–调查公司’的数据安全实践,并与您的标准进行比较。


    在没有安全提供程序的情况下,以书面形式将您的安全期望写入合同。


    坚持让您的服务提供商将遇到的任何安全事件通知您,即使这些事件可能并未导致您的数据受到实际损害。


    四:妥善处理不再需要的物品。


    实施合理且适当的信息处理做法,以防止未经授权的访问– or use of –个人识别信息。


    记得: 路易斯安那州房地产委员会的规则要求您保留记录五年。[8]

    制定政策以确保敏感文件在扔掉之前不可读。

    燃烧,切碎,粉碎,以确保身份窃贼可以’不要从垃圾桶里偷东西。


    处置旧计算机和便携式存储设备时,请使用软件来安全擦除数据,通常称为擦除实用程序。

    看到“破坏保护:消费者信息和数据安全”,Patricia B. McMurray和Rebecca S. Helveston的风险管理报告,以获取有关房地产经纪人的更多信息®与保留和处置有关的责任。


    五:提前计划并制定应对安全事件的计划。


    在您的组织中指定一个人来协调和实施响应计划。

    如果计算机受到威胁,请立即将其与网络断开连接。

    Investigate security incidents immediately and take steps to close off existing vulnerabilities or threat to 个人信息.


    考虑组织内部和外部发生事件时通知谁。


    请咨询您的律师,以协助并指导您完成对安全事件的响应。

     


    [1] “Protecting Personal Information:  A Guide for Business”, Federal Trade Commission, //www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business


    [2] Federal Trade Commission Chairwoman Edith Ramirez, //www.fedscoop.com/edith-ramirez-ftc-aspen-institute-august-2016/


    [3] La。R.S. 51:3073。


    [4] LAC 46:LXVII:1803。


    [5] “9 Ways to Keep Data Secure”, REALTOR Magazine, Lee Nelson, August 2015, http://realtormag.realtor.org/for-brokers/network/article/2015/08/9-ways-keep-data-secure.


    [6] ID。


    [7] ID。


    [8] LAC 46:LXVII:1803。

  • 房地产交易& Wire Fraud

    网络罪犯瞄准房地产交易以骗取电线欺诈


    房地产专业人员应注意欺诈的接线说明。网络罪犯越来越多地代表房屋销售商,房屋购买者或借款人,房地产经纪人,产权公司和贷方发送与房地产交易相关的资金转移的虚假信息。 


    根据联邦调查局提供的新数据,在2017财年,近10亿美元(9.69亿美元)“改道或企图改道”从房地产购买交易,并连接到“犯罪控制”帐户。这个数字高于2016财年,当时FBI计入了1900万美元的电汇欺诈,影响了购房者。 FBI将这类盗窃的增长率描述为“steep,”尽管统计数字的急剧上升可能部分归因于消费者,银行和房地产行业参与者对此类黑客的报道增多。[1]


    案例研究:屠夫

  • 避免电线欺诈& Red Flags

    避免电线欺诈的预防措施[2]


    Be Mindful of Links and Attachments. Cyber criminals use attachments and links to gain access to emails and other login credentials, along with your other 个人信息. Beware of phishing emails embedded with links and attachments from unknown addresses.

    查看电子邮件并验证说明。如果通过电子邮件,邮件或电话收到了电传指示,则应始终亲自面谈或使用第三方(独立)来源的电话号码通过回叫程序来验证您是否与右方讲话。此回电练习将确保您使用正确的个人信息和正确的信息进行确认。如果对接线说明进行了更改,则应假定此更改是欺诈性的(最好还是谨慎行事)。请仔细阅读修改后的说明是否存在任何不一致之处,并始终遵循回叫程序进行独立验证。 

    记录保存您的财务信息的网站。在向他人提供财务信息之前,请确认您输入和检索财务信息的网站是安全的。寻找以HTTPS开头的网址,“S” stands for secure. 

    更新您的计算机。始终保持操作系统,浏览器和安全软件为最新。确保您的电子邮件受到保护。定期更改密码,请勿使用“simple” passwords.

    与您的团队和客户沟通。如果没有通知必要的人员,则预防措施无济于事。向您的员工,客户和业务合作伙伴传达有关此行业威胁的信息。任何此类协议的原因都是为了保护客户资金。


    特定于电线欺诈的红旗[3]


    使用不安全的电子邮件更改接线说明–始终通过拨打经过验证的已知电话号码进行确认,并假定电子邮件是欺诈性的。 

    永久电子邮件-每隔几分钟发送多封电子邮件–试图营造一种紧迫感,以应对房地产交易的最后一刻变化。

    拒绝通过电话进行讨论-发送欺诈性电子邮件的犯罪分子将拒绝通过电话讨论最后一刻的更改(他们以他们为开会而无法打电话的借口)。

    语法不正确和拼写错误可能有助于识别欺诈性电子邮件。 

    重复要求对交易保密的请求-每当电汇指令指定要对交易进行保密时“secret”, you should verify the legitimacy of the source of the request. Speak to the executive or manager requesting the transaction be 秘密 by phone or in person. If you still have doubts, ask to speak to another, more senior executive. 

    看起来可疑的电子邮件地址或域–仔细检查电子邮件地址。 除了(或除了)黑客入侵帐户外,一个常见的技巧是通过稍微修改电子邮件地址来伪装成交易的一方,以便收件人’请注意,他们的邮件来自欺诈域。 例如,黑客可以替换“w” with a double “v” or replace an “L” with a “l” or “1”.

    可疑模式-假房地产经纪人®要求提供信息的电话,然后利用带有修订后的《接线说明》的电子邮件来传输卖方’的收益或其他资金转入伪造的银行帐户。对于经纪人,请检查您发送的电子邮件以交叉引用未发送的答复。 

    新政无处不在–谨慎对待电子邮件,只能紧急地与新合同和相关支票联系,以获取保证金。 

    慢下来-速度是骗子’盟友和你的敌人。欺诈者通过向人们施加压力,要求他们迅速采取行动,而无需独立确认所有事实,从而获得优势。每当电汇指示包括紧迫的期限或围绕未决的房地产交易而进行的最后或最后更改时,请高度警惕可能的欺诈行为。

     


     


    [1] Harney, Kenneth, 2017, October 31, “FBI: Hackers scam homebuyers out of millions – and it’s getting worse”, The Chicago Tribune, retrieved from http://www.chicagotribune.com/classified/realestate/ct-re-1105-kenneth-harney-20171030-story.html.


    [2](2017年10月22日)www.titlecorockies.com/pdf/Wire%20Fraud%20Prevention%20Feb%202017.pdf。


    [3](2017年10月22日)www.titlecorockies.com/pdf/Wire%20Fraud%20Prevention%20Feb%202017.pdf。

  • 关于电线欺诈的警告方

    房地产经纪人® may want to consider having their clients sign a document advising them of the potential of wire fraud to ensure that all parties to the real estate transaction are aware of the possibility of this occurring to them. 路易斯安那州 房地产经纪人® was provided with forms currently utilized by 房地产经纪人® in 路易斯安那州 and other states and developed a form you may want to consider implementing in your practice. The form is general in nature and can be modified to fit your office’的做法和需求。


    电线欺诈警报表


    房地产经纪人® also may want to consider adding notices about wire fraud to their email signature lines. The National Association of 房地产经纪人 provides the language below as an example.  此通知或类似通知不应替代,以对您的客户和房地产交易中的其他参与者进行有关电子邮件电汇欺诈的教育。


    重要通知: 永远不要相信通过电子邮件发送的接线说明。  网络罪犯正在入侵电子邮件帐户,并使用虚假的接线说明发送电子邮件。 这些电子邮件令人信服且复杂。 始终亲自亲自确认接线说明,或通过电话致电受信任且经过验证的电话号码。 未经仔细检查接线说明是否正确,切勿汇款。[1]



    [1] //www.nar.realtor/law-and-ethics/wire-fraud-email-notice-template

  • 向执法部门报告电汇欺诈

    联邦调查局指出,在电汇欺诈发生72小时后收到报告后,收回通过电汇欺诈偷来的资金的可能性大大降低。


    72小时的窗口至关重要,因为这是联邦调查局可以采取行动的时间。“金融欺诈杀手链”试图追回因电汇欺诈而损失的资金。这要求电汇金额为50,000美元或更多,银行汇款是国际发送,银行会发出召回通知,并在72小时之内通知FBI有关详细信息。


    因此,至关重要的是,在怀疑您是受害者之后立即向FBI报告犯罪。尽管不能保证,但是有一些机制可以在有限的情况下收回资金。


    您还应向当地执法部门,您的经纪人,金融机构,产权公司以及发生电汇欺诈的交易的任何其他方报告可疑和确定的电汇欺诈行为。

  • 网络保险:要考虑什么?
    • 仍然是一个不断发展的产品,但是产品正在改进。 
    • 当前不包含在状态E中&O.购买其他任何物品之前,请先检查保险范围。
    • 请注意网络策略未涵盖的内容。
    • 询问有关社会工程学的认可和犯罪报道。
    • 询问预防性咨询,违约后分类服务。
    • 定期查看政策。

     

    路易斯安那州 房地产经纪人 is in the process of researching available insurance products in order to offer its members coverage against cyber threats 敬请关注!

  • 其他资源
骗局警告:组织欺诈性地声称是为利用人的优势的高中运动队筹款’的慷慨。新段落
2019年6月28日

拥有如此多的敏感信息,不仅是他们的,而且还有他们的客户’同样,任何房地产经纪人的目标®’的网络和设备是一个很大的网络。但是,使用这四个Internet和信息安全最佳实践,该目标可以大大缩小。
2018年7月18日

此页面上包含的信息以及相关链接旨在为协会成员提供有关网络安全和电汇欺诈的一般信息。随着技术,法律和法规的不断变化,协会不保证本页和相关链接中信息的准确性。协会成员有责任联系自己的律师和技术顾问,以获取有关如何最好地保护其办公室和客户免受网络和/或网络欺诈威胁的建议。
提供最佳的会员资源
while serving as the advocate for 房地产经纪人® & consumers.
分享: